Spoofing d'IPFermé

Question

Bonjour, 

J'ai un réseau d'environ 200 utilisateurs membre d'un domaine et client DHCP. Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable. Ils doivent avoir les mêmes accès que les postes de l'entreprise. le problème est apparu très rarement et sans mauvais intention mais je préfère prendre les devants pour éviter des ennuis futures. 

Imaginons que je sois un petit bidouilleur et que je souhaite tester un truc. Je ping le serveur (d'annuaire, DHCP, DNS,...) et je chope son adresse IP. Je me connecte ensuite au réseau (soit en branchant le câble réseau d'un post fixe soit via le WiFi de l'entreprise ) en utilisant l'adresse du serveur. Il  y aura ensuite un conflit d'adresse et sauf erreur mon serveur ne pourra plus répondre au client. Mon réseau n'est composé que d'un seul sous-réseau. Il peut aussi prend simplement une adresse aléatoire du pool et lorsque l'utilisateur client DHCP se connectera et obtiendra la même adresse il y aura un conflit d'adresse et cette personne ne pourra pas accéder aux ressources réseaux le bidouilleur non plus d'ailleurs.

Ma question est la suivante : Comment empêcher un des utilisateurs ayant un portable lui appartenant de se connecter à mon réseau en ayant une adresse IP manuel qu'il a configuré lui-même ?


Configuration: Mac OS X / Firefox 3.6.3

Malekal_morte- · Answer

Salut,

Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable

C'est mal.

Narowen · Answer

C'est ce que je me tue à expliquer à la direction mais ils veulent pas comprendre... J'essaye de faire au mieux dans ces circonstances.

Malekal_morte- · Answer

bha faut des swichs qui gèrent le filtrage MAC  
ou faire des vlan avec du filtrage MAC. 

Comme ça les PC dont tu as pas accepté les adresses MAC se font jeter. 

Mais ça règle pas le prb de ceux qui viennent avec des portables persos et qui sont autorisés.... et qui ont des PC pourris au final... 
Parce que dans ces cas là, les merdes sont pas forcément intentionnelles.... 
Si le mec branche son portable et qu'il y a un rbot/sdbot dessus, tu pourries tout le réseau.... 

Remember when you were young, you shone like the sun. 
Shine on you crazy diamond. 
Now there's a look in your eyes, like black holes in the sky. 
Shine on you crazy diamond.

holybeer · Answer

Réserve leur adresse grâce aux adresses mac ( c'est chiant ouai. Je sais )

bloque la plage qui n'est pas utilisée. M'enfin c'est bancal comme solution.

brupala · Answer

Salut,
tu ne peux pas empêcher qu'ils se connectent avec des adresses fixes valides sur le réseau à partir du moment où ils ont le droit de se connecter avec une adresse dhcp.
la seule possibilité, serait de les empêcher de configurer leur carte réseau par une GPO, mais comme ils sont admins de leur poste et que de toute façon il n'est pas membre du domaine ...
Il faudrait expliquer aux responsables que cette façon de gérer un réseau est en dessous de tout au niveau sécurité et que tu t'en laves les mains en cas de problème.
PS, 
heureusement que windows désactive l'interface réseau tout seul en cas de duplicate adresse, sinon ne te dis pas le bazar si l'un d'eux décide de configurer l'adresse d'un serveur sur son poste.

Narowen · Answer

Merci pour vos réponses. J'ai une GPO qui désactive la configuration de la carte réseau mais comme il ne se connecte pas sur le domaine, ça ne sert à rien.

D'après ce que vous me dites, la seul solution que je vois c'est d'autoriser uniquement la connexion  aux personnes connecté sur le domaine et donc sous l'effet de mes GPO. Est-ce qu'un tel solution est possible ? Je sais qu'à présent avec NAP on peut interdira l'accès réseau si certaines conditions ne sont pas remplis comme antivirus à jour etc... pourrait-on tester si l'utilisateur est connecté au domaine et refuser la connexion si cette condition n'est pas remplis ?

Mstr · Answer

Salut,

Ça doit être la fête aux merdes sur le réseau, woohoo !

Dans ma boite, tu branche pas ton PC sur le réseau.

Aucun PC perso n'est autorisé, pas de DHCP (uniquement sur les 2 3 bornes wifi qu'on a).

C'est peut être chiant, de faire à la main les paramètres réseaux, mais au moins, ya rien qui traine dessus..

Aucun droits sur les PC (si ils veulent installer, ou changer un truc, faut en faire la demande).

Enfin le gars qui fait ce genre de chose, il se fait chier pour pas grand chose, et faut s'y connaitre un minimum quand même..

Narowen · Answer

Hmm ce sont des étudiants donc il y en a pas mal qui s'y connaissent un peu et faire un ping puis changer sa configuration IP c'est pas une manip. très compliqué.

Molette4 · Answer

Pourquoi ne pas créer une étendue supplémentaire pour éviter les conflits ?

aymeric.moulin · Answer

Une manière simple mais que je sais pas comment l'appliquer, tu prend tes 200 pc et tu prend leur adresse mac. Tu fais de sorte à ce que le serveur n'accepte que les adresse mac. A partir de la je ne sais pas dutout comment on fait ça mais à titre de comparaison les anciennes générations de livebox ne pouvaient pas établir de connection tant que tu n'avait pas appuyé sur un bouton pour lui faire accepter les adresses mac qui vont tenter de se connecter dans les 10 min suivantes.

Spoofing d'IP

10 réponses

Discussions similaires

Newsletters